Лабораторная работа №3

Анализ трафика в Wireshark

Авдадаев Джамал Геланиевич

09 февраля 2026

Цель работы

Основная цель

Изучение кадров Ethernet и анализ протоколов
различных уровней стека TCP/IP с использованием Wireshark:

  • канального уровня (ARP, Ethernet)
  • сетевого уровня (ICMP)
  • транспортного уровня (TCP, UDP, QUIC)
  • прикладного уровня (HTTP, DNS)

Ход выполнения

Захват ARP и ICMP

  • Выбран активный сетевой интерфейс
  • Запущен захват трафика
  • Использован фильтр:
    arp or icmp
  • Выполнен ping шлюза по умолчанию
Ping и генерация трафика

ICMP: эхо-запрос

  • Длина кадра: 74 байта
  • Тип: Ethernet II
  • MAC источника — локальный компьютер
  • MAC назначения — шлюз
  • Тип адресации: unicast
ICMP Echo Request

ICMP: эхо-ответ

  • Источник — шлюз
  • Получатель — локальный ПК
  • Передача по Ethernet II
  • Подтверждение работоспособности сети
ICMP Echo Reply

Анализ ARP

  • ARP-запрос отправляется широковещательно
  • ARP-ответ передаётся на конкретный MAC
  • Выполняется сопоставление IP ↔︎ MAC
ARP-трафик

Работа с удалёнными узлами

  • ICMP-пакеты направляются на MAC шлюза
  • Далее маршрутизация выполняется на сетевом уровне
  • Адресация остаётся unicast
Удалённый ICMP

HTTP и TCP

  • HTTP работает поверх TCP
  • Клиент отправляет GET-запрос
  • Используется порт 80
  • Передача данных после установки соединения
HTTP-запрос

HTTP-ответ

  • Сервер отвечает статусом (например 304)
  • Используются флаги ACK/PSH
  • Передача данных в рамках установленной сессии
HTTP-ответ

DNS и UDP

  • DNS работает поверх UDP
  • Порт назначения: 53
  • Нет установления соединения
  • Быстрая передача коротких сообщений
DNS-запрос

DNS-ответ

  • Возвращается IP-адрес домена
  • Ответ поступает с порта 53
  • Минимальные накладные расходы
DNS-ответ

QUIC

  • Работает поверх UDP (порт 443)
  • Использует шифрование
  • Включает собственный handshake
QUIC-трафик

QUIC Handshake

  • Пакеты Initial и Handshake
  • Согласование параметров соединения
  • После установления — защищённая передача данных
QUIC handshake

Установление соединения

Three-way handshake:

  1. SYN — запрос соединения
  2. SYN-ACK — подтверждение сервера
  3. ACK — подтверждение клиента
  • Изменяются Sequence и Acknowledgment Number
Начало TCP соединения

Передача данных

  • После handshake начинается обмен сегментами
  • Используются подтверждения ACK
  • Возможны повторные передачи
Передача данных

График потока TCP

  • Отображает последовательность пакетов
  • Видны установление и поддержание соединений
  • Демонстрирует управление потоком
Flow Graph

Итоги работы

Выводы

  • Выполнен захват сетевого трафика в Wireshark
  • Проанализированы протоколы:
    • ARP
    • ICMP
    • HTTP
    • DNS
    • TCP
    • UDP
    • QUIC
  • Изучена структура Ethernet-кадров
  • Рассмотрен механизм TCP handshake
  • Получены практические навыки анализа сетевого взаимодействия